freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

小心!你装的赛博可能是个假赛博
2020-12-31 17:00:45

概述

波兰游戏公司CD Project RED耗时八年的大制作《赛博朋克2077》在经历了三次跳票之后,终于在12月10日发售了!众多游戏玩家第一时间涌进steam,享受“过年般的狂欢”。赛博朋克的话题度在近日仍旧居高不下,隐隐有破圈之势,其在B站的相关视频高达上千个,最高观看数近500万,甚至一些手游厂商为了赶上这波热度,抓紧开发赛博朋克相关手游,在游侠上一款名为“赛博朋克2077手游”的安卓版本已经处于可“预约”状态。

赛博朋克2077热度之高,连不法分子也盯上了这款游戏,某钓鱼网站已经发布了“赛博手游的勒索版”,此apk程序在手机端图标显示如下:

用户尝试安装之后,其手机稍等便会弹出被勒索的页面。用户如果想要恢复数据,需要向指定的比特币地址支付500$。如下图所示:

同时手机里的文件也已经被加密了:

其加密方式并不复杂。首先通过检查读写权限,权限不够的话申请权限。一旦拥有“读写”权限,开始进入加密主函数。

加密主函数依次对“SDCARD根路径”、“mnt”、"mount"、“sdcard”、“storage”路径下的文件进行加密。

进入CryptDir函数之后,会迭代加密文件夹的所有文件,其操作主要有两点:

1)过滤掉文件名中包含“.coderCrypt”或是“README.txt”的文件,此两类文件不可加密

2) 当路径为目录时,将写有勒索信息的README.txt文件保存至此目录中

3)当路径为文件时,使用RC_4算法开始加密

其加密算法的特征与RC_4相同,笔者已经使用RC_4解密算法对一”加密后的截图“文件进行了解密:

即使中了CyberPunk2077手机版勒索病毒的用户也不要过分恐慌,此被加密之后的文件仍旧可以使用简单的工具进行还原。

溯源:

此伪造的CyberPunk2077手机客户端最早出现在cyberpunk2077mobile.com钓鱼网站中。通过其ip进行溯源,找到一批类似的钓鱼网站,此部分钓鱼网站涵盖“新闻”、“游戏”、“支付”、“交友平台”等,如下表展示:

malesto.com未知
m-pubgmobile.com手机版pubg
helpcentre-facebook.comfacebook帮助中心
help-instagramcopyright.cominstagram版权中心
confirm-tiktok.com抖音确认界面
thepeoplenew.org新闻类
helpcenter-verifiedbadges.com确认中心
www-play-google.com谷歌商店
finans-krediniz.com贷款界面(土耳其语)
cyberpunk2077mobile.com手机版赛博朋克
cheatpubg.inpubg作弊器
kalhera.com印度小镇
yazalimyapi.com印度小镇
trcloaker.com未知,猜测与游戏有关
angry-williamson.20-51-209-205.plesk.page体育热点

一些网页暂时无法访问,可以访问的钓鱼网站采用如下惯用套路:

1)在主界面提示用户需要登陆;

2)用户登陆输入之后,用户信息被拦截;

3)跳转回正规网站

与该伪造手机端相关联的为windows版赛博朋克2077免费版本,该版本使用Python语言编写。尽管windows版的加密算法比手机端更加高级,但是比特币支付的地址保持一致。

经过反编译之后的py脚本显示如下

密钥生成策略:使用python random库中的random.choice()随机生成64位字符串,接着对此字符串进行md5哈希计算,得到了AES的加密key。

在加密时将本地IP、平台版本、密钥、登陆名称、计算机的网络名称信息发送到”hellokaptan.duckdns.org“,确保每一用户信息的唯一性。

通过此URL进行溯源,得到更早期的版本,其中在最早版本derfud.exe中使用了代码混淆技术,来绕过杀软的查杀。

windows版本的勒索病毒难以破解。由于random.choice函数底层的种子难以复刻,所以导致对windows版本的伪造cyberpunk勒索病毒的破解暂时没有成功。

总结:

  1. 请在官网或者应用商店下载正版游戏软件;

  1. 在被勒索之后,请及时联系金山毒霸安全工程师;

  1. 手机中请安装安全软件,对于不信任的文件要多次确认其来源。

  1. 要有一定的安全意识,对于官网没有正式发布的消息一定要仔细核对。

  1. 请使用金山毒霸,开始实时防护,及时检测可疑文件。

IOCs

MD5:

CBD92757051490316DE527A02AC17947

9bb3e77f3a2b7329ca41979a783996ae

20cdff3ed5ce61b2f9fb2413b2cf6294

c8f1a1134ac0ccacb849b819e0435e11

42469bbd43954d8ed09b27899b25ffb0

URLS:

cyberpunk2077mobile.com


本文作者:, 转载请注明来自FreeBuf.COM

# 游戏安全 # rc4 # AES # 勒索病毒 # cyberpunk
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑